det0323-detection-strategy-for-t1542002-pre-os-boot-component-firmware

# DET0323 — Detection Strategy for T1542.002 Pre-OS Boot: Component Firmware ## Descrição Esta estratégia detecta a modificação de firmware de componentes de hardware — como controladores de disco (HDD/SSD), adaptadores de rede, teclados e outros periféricos — como vetor de persistência pré-boot. A técnica [[T1542.002-component-firmware]] permite que adversários mantenham acesso mesmo após reinstalação do sistema operacional ou troca de disco. A detecção é complexa pois ocorre abaixo do nível do SO, exigindo ferramentas especializadas de integridade de firmware. Abordagens incluem comparação de hashes de firmware com baselines aprovados pelo fabricante, monitoramento de processos com acesso a interfaces de atualização de firmware (flashrom, fwupd, vendor-specific tools) e alertas de integridade UEFI/BIOS. Esta técnica é característica de APTs de nação-estado com recursos avançados, como grupos ligados à Rússia (Sandworm) e Coreia do Norte. A relevância para LATAM está em ataques a infraestrutura crítica, onde a persistência de firmware em equipamentos de rede pode passar anos sem detecção. ## Indicadores de Detecção - Processos acessando interfaces de atualização de firmware (flashrom, fwupd, ipmiutil) fora de janelas de manutenção - Hashes de firmware de componentes divergindo de baselines do fabricante - Alertas de Secure Boot sobre modificações em componentes de inicialização - Drivers de kernel com acesso direto a hardware (raw disk, network card firmware) - Eventos de UEFI/BIOS indicando alterações não autorizadas em variáveis de firmware - Ferramentas de diagnóstico de hardware executadas por processos não administrativos ## Técnicas Relacionadas - [[T1542.002-component-firmware]] — técnica primária - [[t1542-pre-os-boot|T1542-pre-os-boot]] — categoria pai - [[T1542.001-system-firmware]] — firmware do sistema (UEFI/BIOS) - [[T1542.003-bootkit]] — modificação de bootloader relacionada - [[t1205-traffic-signaling|T1205-traffic-signaling]] — persistência via firmware de dispositivo de rede ## Analytics Relacionadas - [[an0916-analytic-0916|AN0916 — Analytic 0916]] - [[an0917-analytic-0917|AN0917 — Analytic 0917]] - [[an0918-analytic-0918|AN0918 — Analytic 0918]] --- *Fonte: [MITRE ATT&CK — DET0323](https://attack.mitre.org/detectionstrategies/DET0323)*